Innbyggerkontakt – kortløsning og borgerkontakt for kommunale byggerierInnbyggerkontakt
Faktatjekket & kildebelagt

GDPR og databehandleraftaler i anlægsprojekter

Hvornår skal kommunen indgå databehandleraftale med rådgivere og entreprenører, og hvad skal aftalen indeholde efter databeskyttelsesforordningens artikel 28?

7. juni 20266 min læsning
Skærmbillede fra Innbyggerkontakt: matrikelkort med farveindikatorer for lodsejerstatus, indgåede aftaler og kortlagte registreringer.

Eksempel fra Innbyggerkontakt — statusoverblik i kortet

Hver matrikel farves efter projektets aktuelle status, så projektlederen ser fremdrift uden at åbne et regneark:

  • Grøn: lodsejeraftale indgået og underskrevet.
  • Gul: dialog i gang — varslet, men aftale ikke i hus.
  • Rød: afvist, klage eller ekspropriationsspor.

Pin-ikonerne er kortlagte registreringer — fx målepunkter, skader, fotos, ledningskryds og varslede arbejder. Klik åbner dokumentation, billeder og historik for matriklen.

Prøv den interaktive demo

Persondata er en del af enhver anlægssag

I et kommunalt anlægsprojekt behandles store mængder persondata: lodsejernavne, CPR-numre, adresser, kontaktoplysninger, fotos af ejendomme, ejerforhold og økonomiske oplysninger om erstatninger. Dette er personoplysninger, der er omfattet af databeskyttelsesforordningen (GDPR) og databeskyttelsesloven.

For den kommunale bygherre er overholdelse af GDPR ikke kun en compliance-opgave, men en forudsætning for, at både rådgivere, entreprenører og digitale platforme må behandle oplysningerne på kommunens vegne.

Rollefordeling: dataansvarlig vs. databehandler

GDPR opererer med to centrale roller:

  • Dataansvarlig — den, der bestemmer formålet med og midlerne til behandlingen. I anlægsprojektet er kommunen normalt dataansvarlig.
  • Databehandler — den, der behandler oplysningerne på den dataansvarliges vegne. Det kan være rådgivere (landmålere, ingeniører), entreprenører, hostingleverandører og digitale platforme.

Rollefordelingen skal vurderes konkret. En rådgiver, der selv bestemmer formål og midler (fx en advokat med uafhængig professionel rolle), kan være selvstændigt dataansvarlig — ikke databehandler. Datatilsynet har afgivet flere udtalelser om afgrænsningen.

Pligten til at indgå databehandleraftale

Når en databehandler behandler oplysninger på kommunens vegne, skal der indgås en skriftlig databehandleraftale, jf. databeskyttelsesforordningens artikel 28, stk. 3. Manglende aftale er en selvstændig overtrædelse og kan medføre bødeansvar.

Aftalen skal som minimum indeholde:

  1. Behandlingens genstand, varighed, art og formål.
  2. Typen af personoplysninger og kategorier af registrerede.
  3. Den dataansvarliges forpligtelser og rettigheder.
  4. Krav til databehandleren om fortrolighed, sikkerhed, anvendelse af underdatabehandlere, bistand til den dataansvarlige, sletning og dokumentation.

Datatilsynet har offentliggjort en standardskabelon, der kan anvendes og tilpasses. Mange kommuner anvender denne som basis.

Underdatabehandlere

Hvis databehandleren vil anvende underdatabehandlere (fx en hostingleverandør), kræver det enten generel eller specifik forhåndsgodkendelse fra kommunen. Ved generel godkendelse skal kommunen orienteres om ændringer i listen over underdatabehandlere og have ret til at gøre indsigelse.

Underdatabehandleren skal pålægges samme databeskyttelsesforpligtelser som databehandleren selv, og databehandleren er ansvarlig over for kommunen for underdatabehandlerens overholdelse.

Tredjelandsoverførsler

Hvis personoplysninger overføres til et land uden for EØS (fx ved brug af amerikanske cloudtjenester), skal overførselsgrundlaget være på plads, jf. forordningens kapitel V. Aktuelle muligheder omfatter:

  • EU-Kommissionens tilstrækkelighedsafgørelser (fx EU-US Data Privacy Framework for visse certificerede modtagere).
  • Standardkontraktbestemmelser (SCC) med supplerende sikkerhedsforanstaltninger.
  • Bindende virksomhedsregler (BCR).

Praksis efter Schrems II-dommen (C-311/18) kræver en konkret risikovurdering (Transfer Impact Assessment) ved overførsler til USA og andre tredjelande.

Indsigelses- og indsigtsret

Lodsejere og naboer kan anmode om indsigt i, hvilke oplysninger kommunen behandler om dem, jf. forordningens artikel 15. Kommunen skal som hovedregel besvare anmodningen inden 1 måned. Indsigelses- og berigtigelsesret følger af artikel 16-21.

I anlægsprojekter kan en anmodning udløse en større opgave med at trække oplysninger fra både ESDH, projektdatabaser, GIS-systemer og e-mailarkiver. En systematisk dataminimering og strukturerede sagsregistre letter arbejdet.

Sikkerhedsforanstaltninger

Forordningens artikel 32 kræver passende tekniske og organisatoriske foranstaltninger. For en typisk anlægssag indebærer det bl.a.:

  • Pseudonymisering og kryptering af personoplysninger.
  • Adgangsstyring baseret på "need to know"-princippet.
  • Logning af adgang til særligt følsomme oplysninger.
  • Backup, beredskab og procedurer for håndtering af sikkerhedsbrud (inkl. anmeldelse til Datatilsynet inden 72 timer).

Sletning ved projektets afslutning

Når projektet er afsluttet, skal databehandleren slette eller tilbagelevere personoplysningerne, medmindre der er en lovbestemt opbevaringspligt. For kommunale sager følger opbevaringsforpligtelsen ofte af arkivloven, der kan kræve længere opbevaring end den umiddelbare behandlingsformål tilsiger. Aftalen skal præcisere, hvordan sletning dokumenteres.

Kilder og lovgrundlag

  1. [1]Databeskyttelsesforordningen (GDPR) — Forordning (EU) 2016/679
  2. [2]Databeskyttelsesloven (LBK nr 289 af 08/03/2024)
  3. [3]Datatilsynets vejledning om databehandlere og standardkontrakt
  4. [4]EU-Domstolen, sag C-311/18 (Schrems II)
  5. [5]Arkivloven (LBK nr 1201 af 28/09/2016)
← Alle artiklerVores redaktionelle principper